過去の日記: 2002/07

以前の日記らしきもの。

戻る


2002/07/28(Sun)

暑い日が続いています。それにしても、最近、セキュリティホールが多すぎます。

それにしても、PHP のセキュリティホールのおかげで、数台のサーバで PHP の入れ直しを行いましたが、結構時間がかかりました・・・。実験用サーバを含めて 5台くらいなので、まだましですが、それでもセキュリティホールが見つかるたびに何かと大変です。

PHP は、もうすぐ 4.2.3 がリリース予定になっているそうですが・・・。

PHP にセキュリティホール

PHP 4.2.0 と 4.2.1 にセキュリティホールが発見されました。Vulnerability in PHP versions 4.2.0 and 4.2.1 ということでアナウンスされています。"multipart/formdata"リクエストの入力値チェックの問題ということです。リモートから HTTP POST によって、Apache が動作しているユーザの実行権限を得ることが出来るそうです。

ファイアウォールにもあまり意味がありませんので、4.2.2 にバージョンアップするか、4.1.2 を使用するようにした方が安全です。

POST を使用しない場合は、Apache の httpd.conf を以下のように変更することで回避可能ですが、POST が使えないので、あまり意味がないところも多そうですが・・・。

<Limit POST>
  Order deny,allow
  Deny from all
</Limit>

以下のサイトなどでこのセキュリティホールが紹介されています。ほとんど英語サイトですが・・・。

このセキュリティホールによって、Apache に Segmentation fault を起こさせる exploit も公開されています。

他にも、以下の情報によると、PHP 4.2.2 でも サービス拒否(DoS)攻撃を受けてしまう問題が報告されています。この問題はほぼすべてのバージョンの PHP が影響を受けるようです。現在のところ、回避手段はなさそうですが・・・。

Mozilla

スラッシュドット ジャパンなどで既に話題になっていますが、Mozillaに任意ドメインのCookieが漏曳するセキュリティホール があるそうです。

この問題の対処方法としては、メニューを日本語化していない Mozilla では、[Edit] - [Preferences] - [Advanced] - [Scripts & Windows] - [Read cookies] のチェックを外すことです。メニューが日本語になっている Mozilla では、「編集」 - 「設定」 - 「詳細」 - 「スクリプト&ウインドウ」 - 「cookieを読む」 のチェックを外します。

Netscape 6.2.3 でもこの問題があるらしいです。Netscpe 6.2.x で、この問題を対処するには、「設定」メニューの「詳細」で 「Navigator で JavaScript を有効にする」 のチェックを外すか、「プライバシーとセキュリティ」の 「cookie」 で 「cookie を無効にする」 を選択するくらいしかないかもしれません。ただし、このように設定するとまともに閲覧できないサイトがありそうなので、これらの設定は Javascript の働きを理解した上で行ってください。

Mozilla 1.1beta では、すでに対処済みらしいです。

話は変わりますが、JPNIC が、Mozilla-1.0用国際化ドメイン名対応パッチ を公開しているようです。対応している OS には、 RedHatLinux 7.3 と FreeBSD 4.6 が挙げられています。Mozilla をソースからコンパイルする必要がありますが、興味のある人は試してみてください。


2002/07/21(Sun)

毎日暑くてかなり身体に堪えているようで、かなり疲れ気味です。そういえば、19日は土用の丑で、20日は海の日でした。京都の祇園祭も終わり、最近、本当に季節感のない生活を送っているような気がしますが・・・。20日は海の日で祝日でしたが、海に行ったのは何年前だったかというくらいです。とにかく、暑いだけの夏は嫌いです。

とりあえず、JSP(Apache + Tomcat) のインストールメモは作成しました。Red Hat Linux 7.3 の環境でしかうまくインストールできないかもしれませんので、役に立つかは不明です。

そういえば、最近は、一週間に一回台風が来そうな勢いですが・・・。

かんな辞書 (cannadic)

随分前にも紹介したかんな辞書ですが、かんな辞書 (cannadic-0.94c)がいつの間にかリリースされていました。Linux で、日本語入力に canna を使っていると、結構問題になるのが、漢字変換だったりしますが、辞書を強化することで改善することができます。

とりあえず、かんなの漢字変換に不満があれば、インストールしてみるべきだと思います。他にも、子音という辞書もあります。

日経ネットワークセキュリティ 2002 Vol.2

日経ネットワークセキュリティ 2002 Vol.2を買って読んでみました。結構、いろいろなところで話題になっていますが、かなり良い情報が載っていて、勉強になりました。

John the Ripper のパスワード推測方法と推測されにくいパスワードについての説明は非常に貴重な情報です。

PHP のセキュリティホール

7月18日にSecuriTeam で、PHP fopen() Warning Cross-Site Scripting Vulnerability というクロスサイトスクリプティング問題のセキュリティホールの情報が公開されています。

とりあえず、この問題は、fopen() の引数に、スクリプトを入力すると起こるようです。fopen() を使用する際は、ユーザに操作されないように、気をつける必要があると思います。

公開されているサンプルでは、php.ini の設定で、

register_globals = off

になっていると再現されませんし、セキュリティ上、register_globals は off にしておくことをお勧めします。

今週は気になったニュースが多すぎです・・・。先週忘れていた分も追加したら、増え過ぎました。


2002/07/14(Sun) [ JSP ]

最近、また暑い日が続いています。台風が過ぎ去った次の日くらいは涼しかったのですが。台風の被害は結構大きかったようです。また、大きな台風が来ているようなので、気をつけた方が良さそうです。

JSP を試してみようと思って、Apache + Tomcat のインストールをしてみました。インストールは出来たものの、JSP のソースを書くというところまでは出来ていないのですが・・・。勉強する時間があまりありませんが、そのうち勉強しようかと思っています。

インストールメモも作成している途中なので、来週くらいには追加できると思います。

Deep Link 問題

スラッシュドットジャパンから。ニュースソースへの直接リンク禁止〜デンマークや、文化庁がトップページ以外へのリンクを機械的に拒否ということで、結構話題になりました。文化庁の方は、ZDNETの記事では、文化庁、「ディープリンクを拒否するつもりはない」 ということのようで、なかなか複雑です。

この Deep Link はディープリンク禁止命令の影響どこまで? にもありますが、検索エンジンの開発にまで影響する可能性があるようです。この問題としては、法的にあまり厳しく Deep Link を取締りすぎると、インターネットの利便性や検索性といった利点が失われてしまうような気がします。あまり大きな問題にならなければいいのですが・・・。

どうしても Deep Link を避けたいのであれば、Deep Link をできないようなしくみを取り入れて、サイトごとに対処すべきだと思います。この点において、文化庁の件は、問題ないと思うのですが、政府機関が Deep Link を禁止するというのは、あまりに閉鎖的に感じてしまうので、早く対処してもらいたいところです。

とにかく、既存の検索エンジンが、不便になってしまうような方向に進まなければいいのですが・・・。


2002/07/07(Sun) [ いろいろ ]

今年も半分終わり、7月になってしまいました。それにしても、さすがに暑いです。体調管理、食事には気をつけないといけません。CSS を少し変更。

不正アクセス関連

IPAセキュリティセンターからウイルス発見届出状況(6月分)と、不正アクセスの届出状況(6月分)が公表されています。

前年同時期比較で、ウイルスの届け出が 1.2倍、不正アクセスで 1.7倍ということで、順調に増加しているようです。不正アクセスの方では、原因が特定できていればまだ良い方で、原因不明、設定不備という項目で 50% のようです。まあ、不正アクセスがあったことに気がついて、届け出をしただけでも評価できると思いますが。この裏に、どれくらいのサイトが不正アクセスを受けていて、気づいていないのかが知りたいものですが。100倍くらいで済めばまだ良い方だと思います。

また、日本のくらっくサイト情報というサイトが6月からクラックされたサイトの情報を公開しているようです。しっかり管理できていないところは何度でもクラックされてしまうということが良く分かります。予想通り、Windows 系の OS が多いですが。とにかく、パッチを当てて、しっかり管理していれば、簡単にはクラックできないはずです。先日、Web サーバとして広く使われている Apache にセキュリティホールが見つかっていますので、サーバの OS に関係なく、Apache を使っている場合は最新バージョンにしておくことをお奨めします。Apache 用のワームも作成されています(今のところ、*BSD用だけですが・・・)し、Nimda や CodeRed 並のワームになる可能性があるそうです。

とりあえず、パソコンスクール「アビバ」から個人情報流出 のようなことにはなりたくないというところでしょうか。

PHP関連

スクリプト言語 PHP の方では、Zend Engine 2 を実装した PHP 4.3.0 alpha 2 がリリースされています。今回のバージョンでは、Java 的な記述方法が使えるようです。サンプルスクリプトを見ると、try 〜 catch や、デストラクタの実装など、かなり良さそうな機能があります。あまり多機能になりすぎると、手軽なスクリプト言語というイメージがなくなるかもしれませんが、どうなるか注目していきたいところです。

アクセシビリティと色覚バリアフリー

24 時間常時接続メーリングリストから。「色盲の人にもわかるバリアフリープレゼンテーション法」 「色覚異常とは」 IBMの「バリアフリーの扉・ガイドライン」などのページの紹介がありました。これらのページを読むと非常に勉強になります。これらの情報を参考にして Web ページ作りをしてくれるサイトが増えるといいのですが・・・。

サーバ用の FreeBSD で X を使用せずに ports を利用する場合のメモ

FreeBSD メーリングリストから。FreeBSD で X を使用していない場合、ports で X のパッケージをインストールしようとするツールがありますが、以下のように /etc/make.conf に書いておくと X をインストールしようとするのを止めることができるらしいです。

WITHOUT_X11=yes

戻る